Раздел: Документация

0 ... 31 32 33 34 35 36 37 ... 136

It. \WINN I 0V,nt»32VNt НЯМДГПтПМПР iiwm «« «•» ГСммиИ ж1"1

fg~., .( Titn"-. I arc И... I сет в.-. 1 gr. . Jj;*«*£ii>ii«;

DOE Intcntt Pr?toc-l

i Base г ram* prvptti

♦ETHERNET: ETYPE = 0:tOSOD i [№ЙЖ6&), - IP:

♦IE: ID = UkE4o2; Pr-.-.to = TCP: bed: 3(5

*TCt: .A2-.., i-bn: 329, g»q: 3534162!» 8-3534163387. aclt: 26656635153, win:

3

з*-:3.М1б5Г

nosua.

..li*nf Mning pert

.1

ооооосси оьооосго

0UU0003O 60000040 ПОС0005П

oaoaooeii

CD 10 29 DO SO 22 70 SO BB 31 BE IP DS 00 jej ОС 01 11 Ii4 <5S 40 0Q 00 [16 41 71 АЭ04 A5 A.P 4E

4 00 5Я Dg A7 ОС OE AC 30 8F4B SO It

Рис. 4-2. Пользовательский интерфейс Network Monitor

Для копирования кадров в буфер записи (область памяти переменного размера) Network Monitor использует драйвер NDIS. По умолчанию размер буфера равен 1 Мб. При необходимости это значение можно изменить в пределах свободной оперативно!1; памяти.

Пришэчвние Если наш сетевой адаптер не поддерживает смешанный режим три котором через него проходят все кадры, посланные по сети), Network Monitor будет применять локальный режим. В этом случае при записи чл 1рон драйвером NDIS нлфудка на сеть не увеличится. (Перевод адаптера в смешанны i режим иногда повышает нагрузку на про аесеор более чем на

Network Monitor отображает статистику первой сотни уникальных сеансов. Чтобы обновить статистику и увидеть информацию о следующих ста сеансах, в меню Capture (Запись) выберите команду Clear Statistics (Очистить статистику). В табл. 4-1 описаны области окна Capture.

Табл. I. Статистика в окне Capture

Область

Показывает

Диаграмма Статистика сеанса Статистика станции Обшая статистика

Графическое представление текущей сетевой активности Статистика текущего сеанса

Статистика сеансов, в которых участвовал данный компьютер Общая статистика сетевой активности с начала записи

Чтобы записать кадры, подученные с определенных компьютеров, необходимо у чип \, их адреса и ассоциировать их с именами DNS или NetBIOS. После этого имена требуется сохранить в файле адресов (.adr), который используется для настройки фильтров записи и отображения. Фильтр записи позволяет задать критерий отбора данных. Для настройки фильтра записи служит диалоговое окно Capture Filter (Фильтр записи) (рис. 4-3), которое вызывается соответствующей командой в меню Capture или нажатием клавиши F8.

---

Add--

I—,нсч1М. -«о-group »- •bfi04iica:,t)ei4EP4e

L-incljk 4мучймнвир (ОДИН

Intel

Рис. 4-3. Диалоговое окно Capture I-ilkr (Фильтр записи)

Примечание Фильтры записи суыестиеньэ увеличивают нагру ;к\ на профессор, так как через них проходит каждый пакет. Иногда использование сложных фильтров приводит к потере кадра.

Чтобы настроить фильтр лишен, задайте условия в диалоговом окне Capture Filter, Указав условия соответствия, вы сможете:

•записывать кадры, содержащие определенный тип данных;

•записывать кадры, нечодьтуюшие определенный протокол;

•использовать триггер записи для выполнения каких-либо действий.

В табл. 4-2 описаны типы триггеров и условия, которые его запускают.

Табл. 4-2. Описание триггеров записи

inn триггера

Описание

Nothing UliiKoraai

Pattern Match (Соответствие шаблону)

Buffer Space (Место в буфере)

Match Then Buffer Space (Соотв. шаблону, затем место в буфере)

Buffer Space Па: л Pattern Match .(Место в буфере, а затем

соотв. шаблону) No Action

(Только звуковой сигнал)

Stop Capture (Останов сшнсю

Execute Command Line (Выполнение команды)

Триггер выключен (по умолчанию)

Триггер включается при совпадении шаблона, пыр2 аео-ного в текстовом илиформате

Триггер включается при заполнении на определенный иропен: буфера записи данными

Триггер включается при обнаружении в записанном кадре

определенной последовательности и последующем залсл-буфера на указанное число

Триггер включается при заполнении буфера на

число процентов и ткчсдуюшеч обнаружении в им непн-

iw« кадре определенной последовательности

При соблюдении условийдействий

не происходит, но компьютер издает звуковой

Останавливает при выполнении условий триггера

Запускает программу или командный файл при соблюдении условий триггера. Выбирая этот тип триггера, укажите путь к программе или командному файлу

---

Мониторинг сетевой зшигдаГлава

Если на компьютере установлено несколько сетевых адаптеров, нале либо переключаться между ними, либо запулить несколько ж (емиляров утилиты Network Monitor. Чтобы переключиться на другой сетевой адаптер, в меню Capture выберите команду Networks (Сети) и укажите нужный адаптер.

Записанные данные можно сохранить. Например, это стоит сделать перед началом ckTviomcn записи (чтобы избежать потери данных), если данные будут анализироваться

позже или если требуется составить документ об лспь-ют-.ч +и ест* и вошимпич проблемах. При сохранении данные копируются в файл с расширением cap

Использование фильтров отображения

По аналогии с фильтрами записи можнофильтр отображения как запрос к

базе данных, чтобы укатать, какие кадры следует отображать. Фильтр отображения оперирует с записанными данными и не ока впавл влияния на содержимое буфера записи. Кадры фильтруются на основе следуюшнч данных:

•адреса отправителя и приемника кадра для канального и сетенс-го уровней;

•используемого при отправке протокола;

•свойств ижачекшя, спаср».аш>;чся в пакете (под свойством подразумевается толе данных в заголовкекоторые совокупности определяют его назначение).

Чтобы настроить фильтр отображения, необходимо задать условия вокне

Display Filter (Фильтр отображения). Вся информация в этом окне отображается в виде дерева решений и является графическим представлением логики работы фильтра. Изменения в определении фильтра отражаются на дереве решений. В табл. 4-3 перечислены

различные способы фильтрования.

Табл. 4-3. Типы фильтров отображения

Элемент фильтра	Описание
(Протокол)	Определяет протокол или его свойства
Address Filter (во умолчанию	Определяет адреса компьютеров, с необходимо
ANY -> ANY) (Адрес)	lanneuBj 1 в данные
Property (С во ис но;	Определяет которые удовлетворяют условию
	отображения

При настройке фильтров отображения можно использовать логические операторы AND, OR и NOT. Кроме того, в оглп1 не от фильтров записи в выражении разрешается применять более четырех адресов. При отображении записанных данных вея информация о кадрах поивляе гея в окне просмотра кадров. Чтобы отобразить кадры, для отправки которых использовался определенный .измените поле Protocol в диалоговом окне Display Filter (Фильтр отображения). Свойства протокола — это информация, извлечен-ная и j данных этого протокола. Допустим, вы записали много кадров, переданных с помощью протокола Server Message Block (SMR). но хотите исследовать только те кадры, которые применялись для создания каталога на вашем компьютере. В этом случае стоит исследовать где свойство, отве дюшес за команду SMB, эквивалентно созданию каталога. Кроме того, изменив строку ANY < -> ANY в аналоговом окне Display Filter, можно просмотреть кадры, досланные с определенного компьютера.

0 ... 31 32 33 34 35 36 37 ... 136